|
ZeroAccess Rootkit und AbNow Google Weiterleitung Hallo Leute, gestern habe ich mir unliebsamerweise ein paar sehr böse Sachen eingefangen. Plötzlich schlug mein Symantec an und fand im Sekundentakt einen neuen Trojaner, dann habe ich das schnell in die Quarantäne schieben lassen, alles beendet und neu gestartet. Danach kam beim Start immer die Fehlermeldung der Art: Ordnungszahl 1109 nicht gefunden... Probleme mit WSOCK32.dll.. und Symantec wurde blockiert, das habe ich zwar wieder hinbekommen aber der Plagegeist ist nicht weg. Habe alles mögliche versucht (Bitdefender Remove Tool, Malwarebytes Anti Malware, abgesichterter Modus, fixmbr und später auch wieder Symantec Scan etc.). Es wurden immer Sachen gefunden und auch entfernt, aber beim Neustart war's dann wieder da. Es scheint mir also als ob nur teilweise Symptome entfernt wurden. Diese waren: - Das Blockieren von Symantec und offensichtliche Probleme mit obiger dll - ca. 5-6 merkwürdige andere Dateien (mit mitunter "kryptischen" Namen) die Infektionen anzeigten - Googlesuche-Weiterleitung auf abnow.com Hier einige Auszüge EINES gestern kreierten Reports, die ich mir aufschrieb: Infizierte Speichermodule: C:\Windows\System32\elaunidr.dll (Rootkit.0Access) Infizierte Reg-Schlüssel: HKCU\SOFTWARE\Microsofr\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) Infizierte Dateien: C:\Windows\System32\elaunidr.dll (Rootkit.0Access) C:\Users\J\AppData\Local\d6d22960\X (Rootkit.0Access) C:\Users\J\AppData\Local\d6d22960\U\000000cb.@ (Trojan.Agent) C:\Users\J\AppData\Local\d6d22960\U\000000cf.@ (Trojan.Agent) C:\programdata\symantec\...\apq5c5.tml (Trojan.Agent) C:\Users\J\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess) C:\Users\M\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess) C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess) C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess) C:\Windows\Temp\{E9C1E1AC-...GANZ VIEL KRYPTIK...}.tlb (Rootkit.Zeroaccess) Habe auch gestern schon ne ganze Menge ergooglet und auch hier gesucht aber habe jetzt immer noch einige Fragen: 1. Ich werden den betroffenen PC neu aufsetzen, reicht es nur die C: Partition platt zu machen, da da nur die Plagegeister gefunden oder lieber die ganze Platte? Was kann ich sonst machen.. à la fixmbr etc? 1b. Wie kann ich sicher sein, dass Daten die ich jetzt rette nicht verseucht sind? Ich habe zwar vor ner Woche noch recht viel gesichert, aber nicht alles. 2. Ich habe den PC recht schnell vom Internet genommen aber nicht direkt, da ich das Ausmaß der Verseuchung nicht so erkannt hatte und erst noch nach ein paar Lösungen gesucht habe. Was ist mit meinen Daten? Ich mache OnlineBanking etc auf dem PC aber diesbzgl. speichere ich (also zumindest nicht bewusst) iwelche Daten. E-Mail Passwörter usw waren einige gespeichert, die ändere ich derzeit (von nem anderen Rechner natürlich ;-)) 3. Während der Infizierung waren noch zwei weitere Rechner im Netz (mitunter auch dieser hier). Die zeigen aber bisher weder Symptome, noch schlägt das BitDefender Tool, der Antimalware oder Symantec Vollscann irgendwo an. Muss ich mir auch hier bzw. beim Router sorgen machen? W-Lan PW auch ändern? Ich mein, ich kann ja jetzt nich auf gut Glück 3 Rechner neu aufsetzen. Vielen Dank für eure Hilfe! :) |
hi, nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches? |
beruflich nicht, aber sonst ja, habe ich gemacht, aber nicht zum Zeitpunkt der Infektion direkt. |
hi, bitte rufe dein e bank an, lasse das onlinebanking sperren, notfallnummer: 116 116 begründung: zero access rootkit. der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen. |
Hallo, vielen Dank für deine schnelle Hilfe. Passwörter usw habe ich eben an einem gaanz anderen PC geändert. ;-) Nur noch einige Fragen habe ich: 1. Wieso AutoRun deaktivieren? Das ist doch nur für eingelegte /angeschlossene Datenträger... Kann sich der Virus dann nicht dorthin hinüberkopieren? 2. Nein, ist ein selbst gebauter PC und das kriege ich ich hin, werde allerdings die Partition erstmal plattmachen. Nach deiner Aussage schließe ich auch daraus, dass ich alle Partitionen platt machen soll? Habe egtl extra nur eine für Windows, damit man bei fehlerhaftem OS nur dieses entfernen kann und nicht die Daten rumschieben muss. 3. inwiefern den pc absichern? 4. Wie kann das online banking eigentlich betroffen sein, wenn ich ganz sicher bin, dass ich weder während noch nach der Infizierung etwas damit unternommen habe? |
1. Wieso AutoRun deaktivieren? Das ist doch nur für eingelegte /angeschlossene Datenträger... Kann sich der Virus dann nicht dorthin hinüberkopieren? ne, wenn autorun deaktiviert ist, eben nicht mehr, dass ist ja sinn und zweck der übung, denn dann kannst du deine daten sichern :-) 2. ja, ein neu erstellen aller partitionen wäre das sicherste. 3. inwiefern den pc absichern? dazu kommen wir dann, wenn du soweit bist. 4. Wie kann das online banking eigentlich betroffen sein, wenn ich ganz sicher bin, dass ich weder während noch nach der Infizierung etwas damit unternommen habe? nur weil symantec gestern angeschlagen hatt, heißt es nicht, dass der infektionszeitraum gestern war. norton hat leider so seine liebe mühe mit diesem rootkit typen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:08 Uhr. |
Copyright ©2000-2024, Trojaner-Board